使用云安全后,能下载完整的访问日志、攻击日志、CC攻击日志吗?

可以的,日志下载功能位置:控制台 -> 抗D保/创宇盾/加速乐 -> 日志下载,该功能目前仅对部分套餐客户开放。

注意:对日请求数大于1亿的网站,云安全会根据网站日志量级分级对网站进行包括自助下载暂停、日志存留字段精简等处理。

根据《中华人民共和国网络安全法》规定,知道创宇对所有服务的客户网站日志均会存储6个月以上,最近日志最多延迟2小时生成。对部分套餐客户提供最近7天日志下载服务,其中当天可按小时下载,当天以前按天下载。

如果网站在云安全上开通正常,但域名没有按云安全要求实际接入进来,或网站没有任何访问和攻击,则不会生成日志。

您下载的文件为gzip压缩文件,请使用压缩类软件(如winrar、7z等)解压后,再查看。

同时知道创宇对于大客户提供日志下载API,如有需要,请联系您的客户经理。

日志分为:访问日志(access)、攻击拦截日志(attack)、CC攻击日志(anticc)。

一、访问日志、攻击拦截日志格式说明

日志预留字段:

1、导出的日志中,“-”为日志预留字段,不代表任何含意。

2、日志中的〈SP〉代表空格。

3、<||> 代表复用分割符。

其它日志字段:

1、请求时间

2、请求耗时(单位为秒)

3、攻击类型 / 防护类型(在攻击日志中表示攻击类型,在访问日志中表示防护类型,类型标识符含义见附录1:攻击类型和防护类型)

4、拦截类型(类型标识符含义见附录2:拦截类型)

5、客户端IP

6、代理IP(格式为客户端IP,代理IP1,代理IP2…,如未使用代理,则只有客户端IP)

7、域名

8、URL

9、请求方法(GET、POST、HEAD等)

10、Referer

11、缓存命中状态(hit为命中,bypass为不缓存,miss为未命中,error为错误[404等])

12、状态码

13、页面大小

14、User-Agent

15、端口+协议类型

16、规则ID

17、客户端源端口

二、CC攻击日志格式说明

1、告警时间(如2017-07-19T10:57:09)

2、攻击IP

3、被攻击域名(如www.xxx.com)

4、被攻击路径(如“/index.php”,”…”表示有多个URL同时被攻击,一般个数较多,用…代表。)

5、拦截状态(Y表示拦截,N表示未拦截(观察模式),L1表示基础引擎限速,L2表示超单IP访问频次阈值限速,L3表示超单IP流量阈值限速。)

附录1:攻击类型和防护类型

攻击类型:

含义见:http://help.yunaq.com/faq/334/

防护类型:

1、CC防火墙 — 高级防护(CC_SP)

2、CC防火墙 — AI防护(常态)– 高危IP(CC_AI_H)

3、CC防火墙 — AI防护(常态)– 中危IP(CC_AI_M)

4、CC防火墙 — AI防护(常态)– 低危IP(CC_AI_L)

5、CC防火墙 — AI防护(常态)– 普通IP(CC_AI_N)

6、CC防火墙 — AI防护(动态)– 高危IP(CC_DYNAMIC_H)

7、CC防火墙 — AI防护(动态)– 中危IP(CC_DYNAMIC_M)

8、CC防火墙 — AI防护(动态)– 低危IP(CC_DYNAMIC_L)

9、CC防火墙 — AI防护(动态)– 普通IP(CC_DYNAMIC_N)

10、智能引擎(ML)

11、专家系统(CCERS)

附录2:拦截类型

1、BAN:拦截

2、IP_WHITE:IP白名单放行

3、URL_WHITE:网址白名单放行

4、CATEGORY_OFF:因关闭特定检测类型放行

5、WAF_USER_OFF: 网站管理员通过控制面板关闭防火墙放行

6、WAF_ADMIN_OFF:云安全管理员关闭防火墙放行

7、RULE_ID:策略白名单放行

8、TEST_RULE:测试规则放行

9、JS:人机识别

10、CAPTCHA:验证码

11、JSPAGE:AI识别